Spoločnosť Microsoft vykonala určité zmeny v správaní brány firewall pre malé a stredné podniky a možnosti použitia alternatívnych portov v najnovšom Windows 11 Canary build 25992.
Kľúčové informácie
- Zostavenie Windows 11 Insider Preview mení predvolené správanie zdieľania SMB, aby sa zlepšila bezpečnosť siete, pričom sa automaticky povolí skupina pravidiel obmedzujúcej bránu firewall bez starých portov SMB1.
- Cieľom spoločnosti Microsoft je ešte viac zabezpečiť pripojenie malých a stredných podnikov otvorením iba povinných portov a zatvorením vstupných portov ICMP, LLMNR a Spooler Service v budúcnosti.
- Klienti SMB sa teraz môžu pripojiť k serverom cez alternatívne porty cez TCP, QUIC a RDMA, čo poskytuje väčšiu flexibilitu pri konfigurácii a prispôsobení správcom IT.
Microsoft vyrába niekoľko vylepšení na Server Message Block (SMB) za posledných pár rokov. Windows 11 Home sa už nedodáva s SMB1 z bezpečnostných dôvodov a tiež technologický gigant z Redmondu nedávno začala testovať podporu
pre Network-designated Resolvers (DNR) a klientske šifrovacie mandáty v SMB3.x. Dnes to oznámilo ďalšie zmeny v komunikačnom protokole klient-server s uvedením najnovšieho programu Windows 11 Insider stavať.Windows 11 Insider Preview Canary build 25992, ktorý sa začal uvádzať na trh len pred niekoľkými hodinami, mení predvolené správanie programu Windows Defender, pokiaľ ide o vytváranie zdieľania SMB. Od vydania Windows XP Service Pack 2 vytvorenie zdieľania SMB automaticky povolilo skupinu pravidiel "Zdieľanie súborov a tlačiarní" pre vybrané profily brány firewall. Toto bolo implementované s ohľadom na SMB1 a bolo navrhnuté tak, aby zlepšilo flexibilitu nasadenia a konektivitu so zariadeniami a službami SMB.
Keď však vytvoríte zdieľanie SMB v najnovšej zostave Windows 11 Insider Preview, operačný systém to urobí automaticky povoliť skupina "Zdieľanie súborov a tlačiarní (obmedzené)", ktorá nebude obsahovať prichádzajúce porty NetBIOS 137, 138 a 139. Je to preto, že tieto porty využíva SMB1 a nevyužíva ich SMB2 alebo novší. To tiež znamená, že ak povolíte SMB1 z nejakého staršieho dôvodu, budete musieť znova otvoriť tieto porty vo vašej bráne firewall.
Microsoft hovorí, že táto zmena konfigurácie zabezpečí vyššiu úroveň zabezpečenia siete, pretože štandardne sa otvárajú iba požadované porty. To znamená, že je dôležité poznamenať, že toto je len predvolená konfigurácia, správcovia IT môžu stále upravovať akúkoľvek skupinu brány firewall podľa svojich predstáv. Majte však na pamäti, že firma z Redmondu sa snaží ešte viac zabezpečiť pripojenie SMB otvorením iba povinných portov a zatvorenie vstupných portov Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) a Spooler Service v budúcnosti.
Keď už hovoríme o portoch, Microsoft zverejnil aj ďalší príspevok v blogu popis alternatívnych zmien portov v pripojení SMB. Klienti SMB sa teraz môžu pripojiť k serverom SMB prostredníctvom alternatívnych portov cez TCP, QUIC a RDMA. Predtým servery SMB nariaďovali používanie portu TCP 445 pre prichádzajúce pripojenia, pričom klienti SMB TCP sa pripájali na výstup na rovnaký port; túto konfiguráciu nebolo možné zmeniť. S SMB cez QUIC však UDP port 443 môžu používať klientske aj serverové služby.
Klienti SMB sa môžu tiež pripojiť k serverom SMB prostredníctvom rôznych iných portov, pokiaľ tieto porty podporujú konkrétny port a počúvajú na ňom. Správcovia IT môžu nakonfigurovať špecifické porty pre konkrétne servery a dokonca úplne blokovať alternatívne porty prostredníctvom skupinovej politiky. Spoločnosť Microsoft poskytla podrobné pokyny, ako môžete mapovať alternatívne porty pomocou NET USE a New-SmbMapping alebo ako ovládať používanie portov prostredníctvom skupinovej politiky.
Je dôležité poznamenať, že Windows Server Insiders momentálne nemôžu zmeniť TCP port 445 na niečo iné. Spoločnosť Microsoft však umožní správcom IT konfigurovať SMB cez QUIC na používanie iných portov okrem predvoleného portu UDP 443.